У меня есть несколько серверов RDP Windows (2008 R2) с выходом в Интернет и пользователь, которому я хочу, чтобы у них был доступ к серверу RDP только тогда, когда они находятся в нашей локальной подсети, но разрешить другим пользователям иметь внешний доступ.
Можно ли ограничить RDP-доступ пользователя только во внутреннюю сеть? Еще лучше, есть ли способ ограничить RDP-доступ группы по IP?
Я посмотрел на использование брандмауэра Windows, но не увидел ничего об ограничении доступа конкретного пользователя или группы. Я проверил некоторые настройки групповой политики и не смог найти ничего, связанного с доступом RDP по IP.
Брандмауэр может ограничивать соединения по источнику, порту и месту назначения, но он ничего не знает о пользователе, который пытается войти в систему через безопасное соединение. Следовательно, вы можете заблокировать только всех пользователей или разрешить всем пользователям. С другой стороны, в RDP нет функции ограничения пользователей по IP-адресу, только по имени входа.
К счастью, есть решение: установить шлюз удаленных рабочих столов. Разрешить подключения из Интернета только через этот шлюз и использовать шлюз удаленных рабочих столов. Политики авторизации чтобы позволить кому угодно, кроме администраторов, использовать шлюз. Ваши администраторы в вашей локальной сети по-прежнему могут напрямую подключаться к серверам.